Утром 28 июля авиакомпания «Аэрофлот» столкнулась с масштабной хакерской атакой, которая вызвала серьезные перебои в работе информационных систем перевозчика и привела к отмене свыше 50 рейсов. Несмотря на коллапс автоматизированных процессов, часть полетов была выполнена благодаря переходу на ручные процедуры и экстренные меры. Об этом рассказал директор департамента расследований T.Hunter Игорь Бедеров, пояснив, что регистрация пассажиров осуществлялась вручную, а корректировки расписания доводились до сведения через оперативные объявления в аэропорту «Шереметьево». При этом мобильное приложение и официальный сайт авиакомпании функционировали с ограничениями, но базовое информирование пассажиров сохранялось.
За неделю до атаки, по словам Бедерова, система бронирования Leonardo уже подверглась DDoS-атаке, которая, вероятно, была частью подготовки к проникновению в IT-инфраструктуру «Аэрофлота». «Предположу, что DDoS мог являться прикрытием или маскировкой для проникновения хакеров в инфраструктуру компании», — отметил он. В то же время утверждения хакеров о «полном физическом уничтожении» IT-инфраструктуры перевозчика эксперт считает технически невозможными и медийным преувеличением. «Это либо пропагандистский штамп, либо сознательное искажение», — подчеркнул Бедеров.
Эксперт уточнил, что значительная часть систем «Аэрофлота», включая бронирование и погодные сервисы, работает в публичных облаках, доступ к которым имеют только провайдеры облачных услуг. Кроме того, авиакомпания располагает автономными резервными системами и дизастер-рекавери площадками для аварийного восстановления в разных городах, что делает невозможным одновременное уничтожение всех систем без физического доступа. Также Бедеров отметил, что бортовые системы самолетов и аэропортовое оборудование (диспетчерские вышки, системы посадки ILS) функционируют автономно и не зависят от корпоративной IT-сети.
Ведущий аналитик отдела мониторинга информационной безопасности компании «Спикател» Алексей Козлов связывает проникновение хакеров с недостаточным контролем доступа и внутренней безопасности в «Аэрофлоте». «Речь прежде всего про недостаточный мониторинг действий инсайдеров, сегментацию сети и защиту централизованных систем управления», — объяснил он. По его мнению, эти пробелы могли позволить злоумышленникам оставаться незаметными в течение нескольких месяцев.
По оценке Игоря Бедерова, прямой ущерб для авиакомпании может составить десятки миллионов долларов — это включает остановку рейсов, затраты на восстановление систем и штрафы за утечку данных, которые могут достигать 500 миллионов рублей. Помимо финансовых потерь, восстановление потребует «кардинального пересмотра подходов к информационной безопасности». В числе косвенных последствий эксперт называет падение доверия клиентов, отказ от услуг и возможные государственные санкции, учитывая, что «Аэрофлот» является стратегической государственной компанией и объектом критической информационной инфраструктуры.
Реакция рынка отразилась на стоимости акций «Аэрофлота»: в ходе торгов 28 июля они снизились почти на 5%, достигнув отметки 55,8 рубля за штуку.
